上篇文章,我提到了在物聯網平台企業這個賽道,誕生新一輪BAT的機率很低。
那麼本期,我來回答一個問題,在物聯網觸發的哪個市場最有可能誕生新一輪的BAT呢?我的價值觀是光“大”不足以成為BAT,想要成為BAT必須身處戰略要道。除了時下火熱的人工智能、共享經濟、XaaS,還有一個老生常談、又常談常新的領域,在不知不覺中已經發生了質變,它就是正在從“科技”走向“文化”的物聯網安全。
一如19世紀末,被經典實體體系認為是“大廈已經建成,隻剩修修補補”的兩朵烏雲,最終推開了量子力學的全新大門。如今,在大多數公司熟視無睹或束手無策、在巨頭們視之為配角、處于價值窪地但内涵已經被重新定義的物聯網安全領域,正在醞釀着新生的BAT。
永遠不要覺得物聯網安全事件離你很遠,如果你自認為有足夠的能力和免疫力應對各種安全漏洞,呵呵,“萬物病毒”算是找對人了。
物聯網安全已經遠遠超出了網際網路安全的範疇,重要的事情說三遍,物聯網安全不是涼菜,不是鹹菜,不是配菜,它是主菜中的硬菜。
人工智能掀起第三次世界大戰?先過了物聯網安全這關再說
腦部神經元樹突跌宕起伏(“說人話!”“哦,腦洞大開”)的特斯拉CEO馬斯克一直緻力于揭穿AI崛起的“陰謀”,本周再放絕句:人工智能可能引發第三次世界大戰。馬斯克的這個警告與俄羅斯總統普京在上個周五發表的人工智能觀點遙相呼應。普京說,誰能成為人工智能領域的上司者,世界格局就可能被誰重塑。
馬斯克認為目前各國對人工智能統治權的争奪可能引發第三次世界大戰,而人工智能時代的戰争并不是由某國上司人發起的,一切都将實作自動化。人工智能會自動規劃戰略,自動部署戰術,找出獲勝幾率最高的戰法。
說話之時,也許馬斯克忘了,早在2014年,特斯拉電動汽車被首次攻破之後,已經屢屢用親身實踐證明,黑客可以遠端控制汽車,輕而易舉的完成開鎖、鳴笛等操作。
現實情況是,比“萬物互聯”更先到來的是“萬物皆危”,如果說,擔心第三次世界大戰“人工智能”上場是杞人憂天,那麼密集的物聯網漏洞和活生生的病毒卻已日漸白熾化了。
最近由丹麥技術大學、厄勒布魯大學、俄羅斯因諾波利斯大學等機構聯合完成的研究“The Internet of Hackable Things”(本宮譯作“萬物互危”),量化了物聯網裝置的風險:
90%的裝置與其他裝置建立了非安全連接配接
80%的裝置,連同與之相關的雲平台和移動元件,沒有足夠複雜的密碼
70%的裝置,連同與之相關的雲平台和移動元件,攻擊者能夠通過枚舉法破解使用者帳戶
70%的裝置使用未加密的網絡服務
各國政府都已經意識到了物聯網安全是緻命短闆,紛紛出台相關的法案。本周一,美國國會通過了一項法案,目的是要求向美國政府出售的物聯網裝置必須滿足某些安全标準。在此之前,美國國土安全部(DHS)已經釋出了《物聯網安全指導原則》。歐盟委員會也正在起草新的網絡安全标準,主要針對物聯網裝置劃分網絡安全等級。
在接受采訪時,美國政府官員憂心忡忡的說:“或許在未來的幾年裡很快就會誕生大約200億的物聯網裝置,聯邦政府使用了其中的數百萬套。更要命的是幾乎所有裝置都采用硬密碼而且無法線上更新,很顯然我們會遇到巨大的麻煩。”
物聯網安全已經上升到了國家戰略的高度,可見“萬物皆危”的殺傷力和攻擊力有多恐怖。
無疑,物聯網正在驅動新一輪的行業變革,但是在很多行業中,安全需求不同,各行業安全方案既不全面也不成熟,在安全風險評估及應對方面并沒有明确的思路,換言之,當下物聯網公司的安全現狀就是一盤散沙,孱弱地不堪一擊。
從目前标準和聯盟組織的進展來看,物聯網安全尚處于起步階段,以指南和架構為主,能夠用于指導産業落地的具體技術标準非常缺乏。整個産業急需标準和聯盟組織加大相關安全标準的投入,以加快安全标準的輸出,促使物聯網産業的健康、快速發展。
組織
相關文檔
IoT安全相關貢獻
US NIST
美國國家标準技術研究所
NIST.SP.800-160
2016年11月釋出"Systems Security Engineering",提出一套關于IoT的網絡安全指南,通過對連接配接裝置生命周期管理的過程來保護利益相關者的需求。
IIC
工業網際網路聯盟
Industrial Internet of Things Volume G4
2016年9月釋出《工業IoT安全架構》,期望産業界能對于如何保障IIoT(工業IoT)系統安全達成共識,目标是確定安全性成為IIoT系統架構的基礎元素,并涵蓋包括終端裝置以及系統元件之間連接配接的整個IIoT系統。
IETF
網際網路工程任務組
RFC7744
RFC7925
在應用層、傳輸層和網絡層的安全協定及第三方認證/授權協定都有長期的積累,而且被廣泛地應用。鑒于部分IoT 裝置存在如處理能力、存儲、代碼量、能耗等方面資源受限,工作組ACE、DICE、T2TRG和CORE正在緻力于開發相關協定來适配。
GSMA
GSM協會
IoT Security Guidelines
着力于電信行業,目前為尋求發展IoT服務的服務提供商,提供一系列安全指南,旨在幫助IoT産業建立對IoT安全的共識。以確定在IoT服務的整個生命周期都部署最佳安全實踐。
oneM2M
oneM2M Security Solutions
聚焦制定IoT管理和應用使能平台業務層标準,覆寫需求、架構、API标準、安全和互操作。oneM2M計劃引入可信執行環節(TEE),期望所有利益相關方都借助互相隔離的存儲和執行資源來管理和控制私有的證書和安全政策。
TCG
可信計算組
Guidance for securing IoT using TCG technology
為加速增強IoT安全,TCG成立IoT Sub Group,旨在指導如何将可信計算應用于IoT。TCG已提出一系列安全政策指南,目前正在努力完善标準來更好地适應IoT的需求。
網際網路安全一心“謀财”,物聯網安全直接“害命”
物聯網與網際網路的本質差別在于,物聯網是一個自我運轉的生态系統,物聯網中的“物物”更逼近生物屬性。創造物聯網安全市場的“工匠”隻有一個:人性的惡。人性中的“惡”有多大,物聯網安全市場的規模就有多大。雖然IDC、Gartner、麥肯錫、CB Insights等機構紛紛釋出物聯網安全市場規模的研究報告,但是參考意義不大,因為人性中的惡已經超出了科學所能統計和預測的範疇,物聯網安全除了技術,還有藝術和文化。
物聯網安全和網際網路安全絕非一個量級,完全沒有可比性。Mirai、Hajime、BrickerBot、WannaCry、“永恒之藍”等病毒動不動就在幾十分鐘攻克數以萬計的裝置,這樣的報道估計你已經聽膩了,這裡再來兩個奇葩的給你換換口味。
一名黑客最近通過魚缸入侵了一家賭場。這個倒黴的賭場剛好用智能魚缸養魚,因為它可以自動配置水溫和清潔度。黑客通過入侵魚缸的傳感器,進而控制了計算機,然後進行掃描,發現漏洞後進入了賭場網絡中的其它部分。該黑客成功的在被發現并制止之前,利用魚缸把賭場10GB資料傳回位于芬蘭的一台裝置上。
OfO小黃車的最新款智能鎖被兩個黑客輕松破解。原來這種鎖一般人拆解不了,因為晶片特别小,黑客們用特殊工具把裡面的關鍵晶片取了出來,花了一個星期進行“反向設計”。他們分析出了加密方式,可以在使用者關鎖時,在鎖和雲端的通訊過程中,成功劫取通訊信号。他們還可以做到将獲得密碼的機制修改成“不認識”雲端發送的正确密碼,但其他任意密碼都可打開車鎖。這意味着,“遵紀守法”的使用者開不了鎖,其他别有用心的使用者反倒分分鐘開鎖。
除了消費産品領域,醫院、加油站、工廠、市政設施等聯網裝置,更是物聯網安全的重災區。裝置遭受攻擊的風險越來越高,工業物聯網領域也難以幸免。
時間
地點
事件
2000年
澳洲
黑客入侵馬盧奇郡議會的污水管理系統,并将數百萬升污水洩露到河流、公園、酒店等公共環境中
2009年
伊朗
Stuxnet病毒攻擊了伊朗核設施中精煉鈾的離心機計算機控制系統,直接破壞了伊朗國家核計劃
2010年
德國
Stuxnet蠕蟲病毒針對西門子的監控與資料采集系統SCADA進行攻擊,并通過U盤和區域網路進行傳播
2014年
一家鋼廠的鋼鐵熔爐控制系統被黑客攻擊,導緻熔爐過熱,無法正常關閉,造成數百萬英鎊的經濟損失
2015年
美國
Charlie Miller和Chris Valasek利用車載娛樂系統遠端控制一輛在高速公路上正常行駛的切諾基吉普車,進行突然加速、刹車、轉向等操作
烏克蘭
變電站受到網絡攻擊,導緻數十萬烏克蘭家庭無電可用
2016年
老牌木材與造紙公司佐治亞-太平洋的一名前員工利用虛拟私人網絡入侵公司網絡,并導緻其旗下一家紙巾廠損失110萬美元
如你所見,工業物聯網領域并不是高枕無憂,安全漏洞更是數不勝數。截至2016年12月,據國家資訊安全漏洞共享平台(CNVD)、美國CVE、ICS-CERT、NVD等機構釋出的漏洞資料,與工業控制系統相關的漏洞達到984個。
工業物聯網相關漏洞涉及到的廠商分布廣泛,國内有三維天地、南京舜唐、騰控、北京傑控、三維力控等,國外有西門子、霍尼韋爾、施耐德等。在各廠商漏洞中,影響程度最嚴重的高危漏洞占比較高。這些高危漏洞可導緻裝置拒絕服務、遠端代碼執行等,一旦被利用可直接導緻工控裝置非正常停機,進而引發生産事故。
就具體應用領域而言,安防監控是工業網際網路的典型應用之一。據CVE、CNVD和CNNVD等漏洞庫的資料統計,他們在超過33個廠商的網絡攝像頭和DVR裝置中累計發現了大約61個安防監控裝置漏洞。安防監控裝置的漏洞主要集中于海康威視、大華、宇視、TP-Link、D-link、Airlive、Cisco等知名廠商。
安防監控裝置的漏洞的類型多樣,漏洞類型主要集中在弱密碼、資訊洩露漏洞、權限許可和通路控制、跨站請求僞造漏洞等。其中弱密碼占所有漏洞中的34.40%,占比最高,而弱密碼漏洞也是以Mirai為代表的物聯網蠕蟲可以大範圍感染物聯網裝置的主因。
物聯網安全是一個複雜度極高的領域,除了針對電腦和手機的攻擊之外,各種具備“智商”的裝置都變成了病毒肆虐的對象,而且這些物體對個人生活和企業營運的影響最為直接。不受控制的水管、毫無響應的發電廠、橫沖直撞的汽車、驟起驟停的心髒智能起搏器…不管你承認與否,不管你是物聯網從業者還是普通消費者,還是做好這輩子至少會遇到一次物聯網安全事件的心理準備。
物聯網的鍊條很長,從晶片、子產品、智能裝置、中間件、雲平台,到行業應用,在每個層面上都會充斥着安全問題。物聯網安全的意義已經被重新定義,超越了傳統黑客層面的單純對抗。從被動安全到主動安全,從“事後諸葛亮”到“防患于未然”,物聯網安全持續更新,成長的速度不斷被黑客倒逼,從這個角度來看也可謂“良性生長”。
在沒有隐私的時代,安全将更新為“文化”
科技産品帶來便利的同時,也獲得了你的各種隐私。你的指紋、你的臉龐、你的消費記錄、你的生活軌迹、你的家庭成員、你的血糖水準、你的體脂率…這些資訊聯網裝置比你還要了解。當你在由物聯網創造的資訊世界“裸奔”時,安全感從何而來?
你的智能水壺可能被用來窺探,孩子的智能玩具可能已被入侵,父母的心髒起搏器可能已被黑客控制…已經發生的多種事件說明,互聯産品的制造商是根本不具備給予消費者安全感的能力。
不是他們不想,而是他們沒有餘力。由于物聯網和智能裝置目前還是一個新興領域,很多廠商都隻能把注意力集中在實作核心功能上,導緻很多聯網産品在設計階段就忽視了安全。這些物聯網智能裝置通常将帶有漏洞的作業系統與軟體一起出售,這最終使黑客更容易掌握資料,有時還能控制裝置。
與之呼應,物聯網安全解決方案提供商作為一個獨立的角色,正在創造一個越來越大的産業。如前所述,由于物聯網應用涉及終端裝置、應用軟體、服務平台和通訊網絡等多個層面,每一層面都可能面臨安全的威脅,需要安全防護的範圍很廣,孕育了巨大的市場需求,相關行業的創新企業正在開拓一片全新天地。
萬物互聯的時代,意味着物聯網裝置的數量将會是移動網際網路的十倍甚至上百倍,而物聯網安全市場的規模并不是簡單的乘積關系,而會呈現指數效應。在沒有隐私的時代,人類的安全意識正在突飛猛進。物聯網安全問題絕不僅僅是一個技術性問題,它正在更新為文化,植根于社會的“物聯網安全”文化。
最近一項針對7,882位消費者的調查發現,89%的受訪者家中至少有一台聯網裝置,81%的受訪者不止一個,90%的受訪者認為廠商必須確定聯網裝置内置安全功能。2015年,為解決物聯網安全問題而産生的安全費用不足行業年度預算的1%,根據Gartner預測,這一比例到2020年需要提高到20%。
對于物聯網安全的職責劃分,也正在發生結構化的調整。越來越多的企業認識到,安全的責任并不在物聯網裝置制造商手中,最終一道安全責任仍舊把握在使用者自己手中。保護企業業務資料的責任不在物聯網方案提供商,而是要由公司自身確定沒有資料洩漏。慶幸的是,調查也顯示出相同的結論,56%的受訪者認為終端使用者和IoT裝置制造商分擔了確定物聯網裝置安全的責任,隻有20%仍舊認為制造商負有全權責任。
随着物聯網創新商業模式的形成,安全問題正在變得越來越棘手。過去商品的所有權劃分幹淨利落,你買了一個掃帚,那麼這個掃帚就是屬于你的。現在的情況是,即使你買了掃地機器人,你也并不完全擁有它,制造商仍舊負責固件的更新以及遠端維護。尤其是汽車、工業裝置等“大件”,這種情況更加明顯,使用者和制造商同時擁有商品的部分所有權。共享經濟的發展,更是加劇了這一程序。前段時間,生産掃地機器人的知名企業iRobot,認為他們有權向蘋果等公司出售他們收集的家庭戶型布局資料,也是基于這個前提。在此情況下,物聯網安全不再是獨立的第三方産業,而是深度融入數字經濟領域、成為數字經濟的神經系統。
雖然物聯網安全已經變得性命攸關,不過在國内,在當下,真正做物聯網安全的創新公司卻是鳳毛麟角。
物聯網安全公司的本質是物聯網資料公司
孫正義用寒武紀大爆發來比喻物聯網市場是有道理的,前文也提到過,物聯網中的“物物”更接近生物屬性。充滿生物的自然界相當嚴酷,充滿了各種未知病毒和攻擊,各種生物雖然一生曆經坎坷,但是大多仍舊可以長期存活。免疫系統、自我治愈、個體排毒在這個過程中發揮了重要作用,這套防禦體系是經過多年的運作資料和經驗積累進化得來。物聯網的生态屬性,也造就了物聯網安全與網際網路安全的本質不同。網際網路安全的現有方法論,放到物聯網世界裡效果有限。
物聯網安全領域最容易誕生BAT,但是,我并不是說現有的物聯網安全公司就能成長為BAT。在物聯網時代,最核心的資産是資料,誰掌握了資料,誰就掌握了主權。有機會變身為BAT的物聯網安全公司,首先應該是物聯網資料公司,在此基礎之上“進化”出可以抵禦未知攻擊的防護體系。也就是說,有價值的物聯網安全廠商,其本質都是資料分析,這也是該領域的廠商有機會成長為BAT的核心。
至于原因為何,解答的思維鍊路太長,此處獻上一個字:略。
物聯網安全日益成為一個吸引大量初創企業的地方,看好物聯網安全項目的投資機構也越來越多。據市場研究機構CB Insights的資料,去年投資者共向網絡安全企業投資35億美元,開展了400多項交易。這些資料今年還将繼續攀升,投資者今年第一季度對私人安全領域的投資創下了最近5年的新高紀錄。
然而傳統的安全解決方案無法适用物聯網安全領域,物聯網企業需要真正定制化的方案。皆因物聯網擁有3大特性:
第一,物聯網系統的複雜性極高。
一個典型的物聯網系統結構包括邊緣節點、網關和雲端平台三部分,在邊緣節點之間、邊緣節點與網關之間、與雲端之間,又是通過不同的無線或有線通訊協定互聯的。理想的安全解決方案,應該是能實作“端到端”全面的安全防護。而現實的情況是,物聯網系統通常是經由不同制造商和使用者的軟、硬體組成,并由不同人進行管理和維護,每個環節的安全政策不盡相同、未必相容、不能構成完整閉環,而系統整體的安全性往往就由“最短的木闆”決定。
第二,物聯網裝置的成本敏感度高。
以邊緣節點而言,物聯網中多數使用者的終端裝置都是結構簡單、低功耗、低成本的,在設計規劃時往往很少、甚至根本沒有考慮安全預算。提升邊緣節點的安全層級,最直接的方式就是投入額外的硬體,不論是采用具備安全性能的MCU,還是嵌入安全晶片。這對于很多OEM,特别是對于增加幾塊錢的BOM成本就斤斤計較的消費型物聯網産品來說,确實是件讓人為難的事。
第三,整個物聯網系統生命周期中,安全營運的管理難度大。
保障安全需要人力投入對系統中的裝置連接配接進行安全性的設定和管理,如授權、加密等,這種對裝置安全性的“個人化”管理也是一個可觀的投入。不論是裝置制造商還是使用者、營運商,都需要有人去承擔管理角色。 随着網絡的規模逐年增長,這一類的營運和管理壓力也将更為顯著。此外,将不安全裝置的廢止或改造以提升物聯網的安全性,還會為使用者帶來“沉沒成本”,導緻過往的投資損失。
鑒于以上現狀,物聯網安全使用的各項最新技術,也正在發生嶄新的疊代。最近研究機構Gartner和Forrester Research分别彙總了頂尖的物聯網安全技術,在此簡述幾種:
1. 端點檢測和響應(EDR)
端點檢測和響應(EDR)解決方案通過監控端點的異常行為和惡意活動迹象,來增強傳統的端點預防性控制措施,例如防病毒。Gartner預測,到2020年,80%的大型企業,25%的中型企業和10%的小型企業将投資EDR能力。
人工智能的自動化以及強大的資料分析能力,為實作更快、更精準的漏洞發現和修複帶來可能。越來越多的企業和廠商也開始利用其優點對抗網絡安全威脅與網絡異常檢測,更新網絡安全檢測體系。
2. 網絡流量分析(NTA)
網絡流量分析(NTA)解決方案是一個有助于網絡管理者進行網絡規劃、網絡優化、網絡監控、流量趨勢分析等工作的工具。它通過監控網絡流量、連接配接和對象,找出惡意的行為迹象。那些正在尋求基于網絡的方法,來識别繞過周邊安全性的進階攻擊的企業應該考慮使用NTA技術來幫助識别、管理和分類這些事件。
3. 欺騙技術(Deception)
欺騙(Deception)技術,顧名思義,這是一種用來擺脫攻擊者的自動化工具,或為對抗攻擊争取更多時間的一種欺騙手段。本質就是通過使用欺騙手段阻止或者擺脫攻擊者的認知過程,擾亂攻擊者的自動化工具,延遲攻擊者的行為或者擾亂破壞計劃。例如,欺騙功能會制造假的漏洞、系統、分享和緩存,誘騙攻擊者對其實施攻擊,進而觸發攻擊告警,因為合法使用者是不應該看到或者試圖通路這些資源的。
4. 軟體定義邊界(SDP)
Gartner預測,到2017年底,至少10%的企業組織(目前低于1%)将利用軟體定義邊界SDP技術來隔離敏感的環境,這項技術在安全保障使用者的通路同時,也可以改善便利性,而使用一個固定的邊界來保護企業内部網站正在逐漸過時。軟體定義邊界由雲安全聯盟(CSA)于2013年提出,用應用所有者可控的邏輯元件取代了實體裝置,隻有在裝置證明和身份認證之後,SDP才提供對于應用基礎設施的通路。
5. 面向DevSecOps的OSS安全掃描和軟體組成分析技術
資訊安全架構師必須能夠将安全控制自動融入到整個DevSecOps周期中,而不需要進行手動配置,在這過程中要盡可能對DevOps團隊是透明的,且不會阻礙DevOps的靈活性,但是又要履行法律和法規合規性以及管理風險要求。為了實作這一目标,安全控制必須能夠在DevOps工具鍊中實作自動化。軟體組合分析(SCA)工具專門分析開發人員用于識别和清點OSS元件的源代碼、子產品、架構和庫,并在應用程式運用到生産環境之前,識别任何已知的安全漏洞或是許可問題。
6. 容器安全(Container Security)
容器使用共享的作業系統模式。對主機作業系統的漏洞攻擊可能導緻所有容器都受到破壞。容器本身并不安全,但是它們就是由開發者以不安全的方式進行部署的,很少或完全沒有安全團隊參與,也很少有安全架構師進行指導。傳統的網絡和基于主機的安全解決方案對容器是無視的。容器安全解決方案保護容器的整個生命周期(從建立到生産),大多數容器安全解決方案都提供了預生産掃描和運作時間監控和保護功能。
最後,請牢記,就像世上不存在完美的物聯網平台一樣,沒有一種物聯網安全技術可以確定你能萬無一失。而身處物聯網時代的你,除了做好“一生至少被入侵一次”的準備,最終還是靠自己賦予自己物聯網的安全感。
原文出處:物聯網智庫
<a href="http://www.iot101.com/kpwl/2017-09-14/13607.html" target="_blank">原文連結</a>
轉載請與作者聯系,同時請務必标明文章原始出處和原文連結及本聲明。
![K-近鄰算法以及圖像分類應用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)